Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


HBAC (Host-based access control) — набор правил для настройки доступа пользователей или групп пользователей к определенным хостам с использованием определенных сервисов. Например:

  • ограничение доступа по ssh к контроллеру домена определенной локации только для группы администраторов этой локации;
  • разрешение использовать только определенную службу для доступа определенным пользователям на определенных хостах.
Правила предоставляют только разрешения доступа. Правила запрета доступа настроить невозможно. 
В домене FreeIPA по умолчанию установлено правило allow_all, которое после настройки и проверки своих правил следует отключить.

FreeIPA хранит основную группу пользователя в виде числового значения атрибута gidNumber. В связи с этим, правила HBAC могут ссылаться только на дополнительные группы пользователя, но не на его основную группу.

Службы HBAC

Известные по умолчанию службы и программы, которые могут быть затронуты при создании правил HBAC,  перечислены в разделе web-интерфейса FreeIPA Policy Host-Based Access Control HBAC Services. Администратор имеет возможность добавить любые необходимые службы. Например, известны службы ftp, sshd, su, login.

Для разрешения входа в графический интерфейс пользователя необходимо создать службы fly-dm и fly-wm.


Добавление правила

В разделе Policy — Host-Based Access Control HBAC Rules нажать кнопку Add, откроется окно, в котором необходимо указать имя правила и нажать кнопку Add and Edit. В появившемся окне указать:

  1. Пользователей и/или группы, на которых будет применяться данное правило.
  2. Узлы и/или группы узлов, на которые будет применяться данное правило.
  3. Службы и/или группы служб, использование которых будет регулироваться данным правилом.

Допускается указывать совместно пользователей и группы пользователей, узлы и группы узлов, службы и группы служб. При этом, если в группе находится только один элемент, и эта группа уже добавлена, то добавить этот элемент отдельно невозможно. 

Правила можно включать, отключать или удалять.

Проверка правила

Необходимо всегда проверять созданные правила. Для этого предусмотрен специальный инструмент, который расположен в Policy Host-Based Access Control HBAC Test:

  1. Выбрать пользователя из списка всех пользователей домена FreeIPA, на которого будет применяться созданное правило, и нажать кнопку Next.

  2. Выбрать узел из списка всех узлов в домене FreeIPA, на который будет применяться созданное правило, и нажать кнопку Next.
  3. Выбрать службу, работа которой подлежит проверке, и нажать кнопку Next.
  4. Выбрать правило или несколько правил, которые будут применены в ходе проверки, и нажать кнопку Next.
  5. Просмотреть результаты прошлой проверки (или отсутствие информации о прошлых проверках). Необходимо нажать кнопку Run Test.
  6. В результате проверки будет указано, соответствуют заданные параметры (пользователь, узел и службы) выбранному правилу или нет. В случае соответствия правило будет применяться.


Отключение и удаление правил

Выбрать из списка правило, которое необходимо отключить или удалить. Для отключения правила нажать кнопку Disable, для удаления — Delete: